El concepto de Zero Trust ha evolucionado significativamente desde su introducción. Conceptualizado por John Kindervag, de Forrester Research, en 2010, Zero Trust surgió como respuesta a la creciente sofisticación de las amenazas cibernéticas, el progresivo uso de aplicaciones Cloud y la incapacidad de los enfoques tradicionales de seguridad perimetral para abordar esos -y otros- desafíos de ciberseguridad.
Asentado en el principio de «nunca confiar, siempre verificar», el modelo Zero Trust despegó fuertemente durante la pandemia, cuando la mayoría de las organizaciones necesitaron asegurar el acceso a los recursos sin importar la ubicación física. Fue entonces, cuando los proveedores de seguridad empezaron a ofrecer soluciones más integradas y automatizadas para facilitar la implementación de Zero Trust.
Tras ese fuerte empujón y al amparo de beneficios tangibles como la reducción del riesgo, la protección contra amenazas internas, el cumplimiento normativo o la mejora de la visibilidad de la actividad y de la adaptabilidad a diferentes entornos, la estrategia Zero Trust se asentó, especialmente, en sectores altamente regulados como finanzas o salud.
Zero Trust ayuda a las empresas a realizar su transformación digital apoyándose en proveedores de seguridad Cloud nativos que ofrecen servicios de seguridad de borde (SSE). Dichos servicios permiten a las compañías reducir gastos y adaptarse a los nuevos modelos de protección, desplazando a las arquitecturas de seguridad basadas únicamente en Hardware (Stack de appliances en el Datacenter) que no fueron diseñadas, ni son adecuadas, para tener el control y la visibilidad (Shadow IT) cuando se realiza un consumo masivo de aplicaciones SaaS, IaaS o PaaS. A destacar que, para 2030, se pronostica un incremento en el uso de estos modelos del 50%, 24% y 26%, respectivamente.
Algunas mejoras necesarias para la efectividad
Aunque en la actualidad, el 63 % de las organizaciones en todo el mundo han implementado total o parcialmente una estrategia de confianza cero, según Gartner, muchas empresas admiten no estar seguras de cuáles son las mejores prácticas para desplegar un modelo Zero Trust efectivo.
Es por eso que se echan en falta algunas medidas orientadas a aumentar la comprensión y las habilidades relacionadas con Zero Trust entre el personal de TI, simplificar su implementación, asegurar la integración de soluciones y desarrollar unas políticas de acceso y seguridad claras y coherentes.
De igual modo, y dado que solo es posible mitigar una cantidad limitada de riesgo empresarial -los analistas de Gartner estiman que, hasta 2026, más de la mitad de los ciberataques se dirigirán a áreas que Zero Trust no cubre adecuadamente, como dispositivos IoT y redes OT, ataques de ingeniería social, aplicaciones heredadas que no soportan autenticación moderna o controles de seguridad avanzados, dependencia de terceros, etc.- es necesario abarcar aún más.
Por tanto y para mantener la eficacia en los entornos cada vez más móviles y dispersos de hoy donde la nube es prioritaria, las soluciones Zero Trust deben combinar una amplia gama de funciones y tecnologías, desde la autenticación multifactor (MFA) hasta la gestión de identidades y accesos (IAM), pasando por el cifrado, los sistemas de puntuaciones o los permisos del sistema de archivos, entre otros.
Sin embargo, no hay que olvidar que la estrategia de protección de datos de confianza cero es una primera línea de defensa contra el acceso no autorizado a los datos y la fuga de información. Por eso, la suma de otras herramientas como las plataformas de análisis y la visibilidad en línea del uso de la nube, la web y la red, permitirán a los administradores adaptar sus reglas y evitar el movimiento lateral no autorizado a otros conjuntos de datos.
Lo ideal, optar por una oferta que complete el recorrido de la confianza cero a través de las cuatro etapas de transformación de SASE: la red, la seguridad, las aplicaciones y los datos con una plataforma Security Service Edge (SSE) preparada para SASE.
Carlos Valderrabano, System Engineer, y Cristina Garrido, BDM, en Exclusive Networks Iberia
